本页面介绍了如何诊断和解决将安全 Web 代理部署为下一跃点时可能出现的常见问题。
未定义默认路线
使用静态路由或基于政策的路由为 Secure Web Proxy 实例配置路由时,您必须设置默认路由 (0.0.0.0/0)。
如果您未设置默认路由,代理将无法将流量转发到外部目的地,并且可能会出现以下错误:
- 连接超时 -
504 Gateway Timeout - 无主机路由 -
502 Bad Gateway
默认静态路由没有网络标记
为 Secure Web Proxy 实例使用默认静态路由时,您必须为该路由分配网络标记。否则,您可能会遇到验证错误。
您还必须将该标记附加到客户端虚拟机 (VM) 实例,以帮助确保流量路由到代理。
非 HTTP 和非 HTTPS 流量会被屏蔽
安全 Web 代理针对基于 Web 的流量进行了优化;如果传输控制协议 (TCP) 流量路由到安全 Web 代理,但没有配置任何 TCP 代理规则来处理该流量,则该流量会被阻止。这种不匹配通常会导致安全 Shell (SSH) 和文件传输协议 (FTP) 等协议出现 Connection Refused 或 400 Bad Request 错误。
如需解决此类错误,您可以创建特定的 TCP 代理规则来管理流量,也可以更新基于政策的路由,以仅转发 80 或 443 等端口。通过遵循上述任一流程,您可以帮助确保 TCP 流量绕过安全 Web 代理实例,并遵循标准的虚拟私有云 (VPC) 路由。
将 Secure Web Proxy 作为下一个跃点网关进行部署时失败
如需解决此问题,请执行以下操作:
验证是否已在同一区域中将现有安全 Web 代理实例部署为下一跳。对于某个区域中的虚拟私有云网络,您只能部署一个安全 Web 代理实例作为下一个跃点。
检查组织的审核日志,看看是否有政策可能会阻止创建 Cloud NAT 网关。
验证网络中是否存在孤立的自动生成资源(例如
swg-autogen-router或swp-autogen-nat);如果存在,请删除自动生成的路由器,然后重新部署安全 Web 代理。